- Dalam pemeriksaan iPhone milik seorang staf organisasi masyarakat sipil internasional yang berbasis di Washington DC, ditemukan kerentanan yang sedang aktif dieksploitasi untuk mengirimkan spyware Pegasus dari NSO Group
- Rantai eksploit yang disebut Citizen Lab sebagai BLASTPASS ini mampu membobol iPhone yang menjalankan iOS 16.6 terbaru tanpa interaksi korban
- Penyerang mencoba infeksi zero-click dengan mengirim lampiran PassKit berisi gambar berbahaya melalui iMessage, dan Citizen Lab menyatakan akan merilis analisis lanjutan
- Citizen Lab segera membagikan temuan tersebut kepada Apple, dan Apple menerbitkan CVE-2023-41064 dan CVE-2023-41061 untuk kerentanan terkait
- Pembaruan Apple berlaku untuk iPhone, iPad, Mac, dan Apple Watch; Citizen Lab serta tim Apple Security Engineering and Architecture menilai Lockdown Mode dapat memblokir serangan ini
Rantai eksploit BLASTPASS
- Citizen Lab menemukan kerentanan zero-click yang sedang dieksploitasi di dunia nyata saat memeriksa perangkat milik staf sebuah organisasi masyarakat sipil yang berbasis di Washington DC dan memiliki kantor internasional
- Kerentanan ini digunakan untuk mengirimkan spyware bayaran Pegasus dari NSO Group
- Citizen Lab menamai rantai eksploit tersebut BLASTPASS
- BLASTPASS mampu membobol iPhone yang menjalankan iOS 16.6 terbaru tanpa interaksi korban
- Serangan dilakukan dengan mengirim lampiran PassKit dari akun iMessage penyerang kepada korban
- Lampiran tersebut berisi gambar berbahaya
- Dokumen terkait dapat dilihat di PassKit
- Citizen Lab berencana mempublikasikan pembahasan yang lebih rinci tentang rantai eksploit ini ke depannya
Pengungkapan kepada Apple dan CVE
- Citizen Lab segera membagikan temuan tersebut kepada Apple dan bekerja sama dalam investigasi Apple
- Apple menerbitkan dua CVE terkait rantai eksploit ini
-
CVE-2023-41064
- CVE-2023-41061
-
Pembaruan segera dan Lockdown Mode
- Citizen Lab menyarankan semua pengguna untuk segera memperbarui perangkat mereka
- Apple telah merilis pembaruan untuk produk Apple, termasuk iPhone, iPad, Mac, dan Apple Watch
- Pengguna yang mungkin menghadapi risiko lebih tinggi karena identitas atau aktivitas mereka disarankan untuk mengaktifkan Lockdown Mode
- Citizen Lab dan tim Apple Security Engineering and Architecture menilai Lockdown Mode dapat memblokir serangan spesifik ini
- Citizen Lab menilai positif respons investigasi cepat dan siklus patch Apple, serta mengakui kerja sama dan dukungan korban beserta organisasi tempatnya bernaung
Sinyal keamanan dari penargetan masyarakat sipil
- Temuan ini kembali menunjukkan bahwa masyarakat sipil menjadi target eksploit canggih dan spyware bayaran
- Pembaruan Apple akan melindungi perangkat pengguna umum, perusahaan, dan pemerintah di seluruh dunia
- Penemuan BLASTPASS menyoroti bahwa mendukung organisasi masyarakat sipil memiliki nilai besar bagi keamanan siber kolektif
Riwayat pembaruan
- Postingan diperbarui pada 7 September pukul 17.42 Waktu Timur
- Pembaruan tersebut mencerminkan penilaian tim Apple Security Engineering and Architecture dan Citizen Lab bahwa Lockdown Mode dapat memblokir serangan spesifik ini
1 komentar
Komentar di Hacker News
Ada banyak pembahasan tentang Apple dan perangkat lunak, tetapi terlalu sedikit yang membahas mengapa NSO Group bisa tetap ada
Mereka beroperasi hampir secara terbuka, dan tampaknya tidak malu. Kalau tidak, mereka tidak akan mencantumkannya di CV: https://www.linkedin.com/company/nso-group/people/
Melihat ini, rasanya “komunitas teknologi” terlalu mudah memaklumi penggunaan teknologi seperti ini. Teknologi yang kita yakini akan “membuat dunia lebih baik” itu
NSO tampaknya didukung oleh pemerintah Israel. Mereka bilang hanya menjual ke pemerintah yang sudah disaring sebelumnya, tetapi dalam kenyataannya sering menjual ke negara-negara otoriter yang memantau dan menindas orang-orang yang menentang rezim
Alasan NSO Group buruk adalah karena mereka menjualnya ke rezim represif, dan diduga secara aktif membantu distribusi perangkat lunak agar rezim-rezim itu bisa mencelakai warga sipil tak bersalah. Karena tindakan dan niat seperti ini, serta kegagalan mengelola tanggung jawab, mereka seharusnya dikenai sanksi, dan seingat saya mereka sudah terkena sanksi
Namun, ada banyak pengecualian, misalnya penjual dan pembeli harus beritikad baik dan berencana menggunakannya hanya sesuai hukum. Ini bukan nasihat hukum
Tidak ada alasan untuk berharap dunia akan segera melucuti senjata, jadi hal terbaik adalah menyadarinya, memengaruhi kebijakan secara demokratis, sambil menyingkirkan gagasan buruk dan aktor buruk
Israel terus berusaha menarik Arab Saudi untuk membangun aliansi dalam potensi perang dengan Iran. Demi mendapatkan izin melintasi wilayah udara Saudi, mereka pasti akan mengorbankan beberapa aktivis HAM. Namun belakangan tampaknya keadaan tidak terlalu berpihak pada Israel
Kenyataannya, komunitas teknologi sangat beragam dan sama sekali tidak kohesif. Misalnya, banyak developer hanya cukup untuk menutup biaya hidup dasar, sehingga bahkan tidak punya ruang mental untuk tahu apa itu NSO
Menarik bahwa Lockdown Mode sangat ditekankan agar tidak digunakan kecuali Anda jurnalis atau berada dalam risiko langsung dan jelas. Padahal dari sisi pengguna, perbedaan fiturnya tidak besar, dan pada dasarnya hanya mematikan berbagai hal tidak perlu dari Apple yang berjalan di latar belakang dan memperluas permukaan serangan
Meski begitu, semua orang mengulang syarat seperti “tidak boleh dipakai sembarang orang, hanya untuk orang khusus”. Padahal ini bukan sumber daya langka dan bukan zero-sum. Justru kalau semua orang memakainya, banyak fitur yang tidak menguntungkan pengguna bisa dimatikan, baterai bisa lebih hemat, dan semakin banyak yang memakai, semakin sulit fitur itu dipakai untuk mengidentifikasi pengguna tertentu
Apple mungkin ingin menghindari kesan iOS lebih lambat atau lebih berat daripada Android. Selain itu, spyware zero-day biasanya menargetkan orang penting, bukan pengawasan massal, jadi risiko nyata bagi individu memang kecil
Akan bagus kalau ada mode kompromi di antara dua mode itu. Misalnya bisa menurunkan keamanan selama beberapa menit ketika ada fitur yang dibutuhkan. Contohnya, jika Safari mendeteksi JavaScript lambat, ia bisa bertanya apakah ingin mengaktifkan kembali JIT
Dari sudut pandang realpolitik, mungkin saja rezim represif mengizinkan Apple merilis perangkat dengan fitur ini dengan syarat tidak mempromosikannya secara aktif atau menjadikannya default. Jika Lockdown Mode aktif secara default di China dan dipakai mayoritas orang, Apple akan segera diusir dari China
Saya juga tidak merasakan perbedaan pada konten web, mungkin karena memakai Firefox/Chrome alih-alih Safari. Yang benar-benar saya inginkan adalah opsi. Misalnya di iOS saya memakai album foto bersama, jadi akan bagus kalau fitur itu bisa tetap aktif sementara fitur lainnya dimatikan
Pertama, Continuity tampaknya hampir rusak, padahal secara pribadi saya cukup bergantung pada fitur itu. AirPlay juga menjadi cukup berubah-ubah
Semua itu bisa saja masalah jaringan, tetapi hanya terjadi setelah saya beralih ke Lockdown Mode. Selain itu, permintaan Screen Time yang tidak berfungsi juga cukup merepotkan
Berapa banyak kerentanan yang sudah dimiliki iMessage sejauh ini?
Bukankah sudah waktunya pesan pertama dari kontak baru hanya mengizinkan teks murni, dan pesan lainnya pun hanya mengizinkan subset yang sangat terbatas, alih-alih sistem ekstensi gila yang tidak jauh berbeda dari ActiveX?
Selain itu, menjalankan seluruh aplikasi di sandbox, dan sebagai lapisan perlindungan tambahan memproses semuanya lewat webview, juga layak dipertimbangkan
iMessage seharusnya melakukan perilaku yang persis sama karena alasan yang sama. Menjengkelkan melihat manajer produk serakah yang bekerja di gedung yang sama harus mempelajari ulang pelajaran yang sudah dipelajari generasi sebelumnya dengan menyakitkan
Jawabannya tidak boleh berupa “jangan merender gambar”. Komponen yang mem-parsing data eksternal seperti gambar harus bisa dipercaya bahwa apa pun inputnya, ia tidak dapat melakukan tindakan berbahaya
Kalau perlu sandboxing, lakukan saja; kalau semua parser gambar harus ditulis ulang dari awal dengan bahasa yang aman atau dibuktikan kebenarannya secara formal, lakukan saja. Apple punya uang yang cukup untuk menjalankan program luar angkasanya sendiri sepuluh kali, jadi mereka juga semestinya bisa membuat library gambar yang dapat dibuktikan aman
iMessage memiliki sejumlah kecil exploit, dan pihak seperti NSO melisensikannya dengan harga sangat mahal kepada segelintir aktor negara yang buruk untuk dipakai dalam serangan bertarget berisiko sangat tinggi
Ketemu. Untuk yang berminat: di iPhone, buka Settings, ketuk Messages, lalu set iMessage ke Off
Lagi-lagi buffer overflow decoding gambar, terdengar mirip dengan kerentanan tahun 2021 [1]
Waktu itu benar-benar mencengangkan. Mereka membuat CPU dari operasi mentah yang disediakan format kompresi gambar rumit yang tertanam di PDF, lalu melakukan operasi aritmetika yang cukup untuk meningkatkan eksekusi kode arbitrer lebih jauh
[1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...
Jangan salah paham. Saya pikir JPEG-XL adalah ide bagus, tetapi bagi orang-orang yang berkata “apa ruginya mendukung satu format gambar lagi”, inilah jawabannya
Perbaikan ini keluar hari ini dan tampaknya diselaraskan waktunya dengan pengumuman, jadi kita perlu memastikan pembaruan sudah diterapkan pada diri sendiri dan orang-orang di sekitar
https://support.apple.com/en-us/HT201222
Setahu saya semua kode parsing iMessage seharusnya berjalan di dalam sandbox BlastDoor; apakah ada kerentanan rantai lain yang belum dipublikasikan di sini?
Memasukkan NSO Group ke daftar hitam Departemen Perdagangan jelas belum cukup. Sampah-sampah ini, setidaknya secara metaforis, harus dibawa ke Den Haag
Jika penasaran tentang NSO Group, Pegasus, dan Citizen Lab, episode 100 podcast Darknet Diaries memberikan rangkuman sejarah yang bagus
Tautan untuk yang penasaran: https://darknetdiaries.com/episode/100/
Kita butuh Lockdown Mode yang lebih granular. Misalnya mematikan otomatisasi dan faktor risiko di iMessage dan Safari, tetapi tetap membuat aksesori perangkat berfungsi
Tidak bagus jika sampai kehilangan aksesori Bluetooth hanya untuk melindungi diri dari exploit zero-click iMessage. iMessage adalah permukaan serangan yang paling terbuka
Misalnya Settings > Messages > iMessage adalah sakelar yang bisa dimatikan jika merasa iMessage adalah masalahnya
Di Settings > Safari > Privacy and security juga ada beberapa pengaturan untuk mengonfigurasi penguncian yang lebih granular terhadap Safari
Penasaran apakah Lockdown Mode bisa mencegah serangan ini
Sejauh ini, apakah pernah ada iPhone dalam kondisi Lockdown Mode yang diretas melalui kerentanan zero-day? Kecuali kasus ketika pengguna ditipu untuk memasang program berbahaya
https://techcrunch.com/2023/04/18/apple-lockdown-mode-iphone...
Tautan CL: https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
Thread terkait yang sedang berlangsung:
iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - September 2023, 7 komentar